Cómo generar un HIP registro de coincidencias si un HIP perfil no coincide

• Se genera una entrada en el HIP registro de coincidencias de una puerta de enlace firewall cada vez que el informe de un usuario coincide con un perfil GlobalProtect HIP HIP configurado.
• Este documento describe cómo configurar una entrada de registro para generar también si el informe del usuario no puede hacer juego el HIP perfil deseado.

• Cualquier red de Palo Alto firewall
• PAN-OS 7.1 y más nuevo
• GlobalProtect puerta de enlace configurada con HIP comprobaciones

1. En Objetos > GlobalProtect HIP perfiles >, identifique el perfil que deben coincidir los HIP usuarios.
2. Inspeccione el HIP perfil y copie los criterios de coincidencia:
   

3. Cree un nuevo HIP perfil con un nombre que indique que el usuario no pudo coincidir con el perfil HIP correcto. Agregue los mismos criterios de coincidencia, pero utilice la palabra clave "not" para negar toda la lógica existente. En este ejemplo usamos el nombre "windows_nomatch" para indicar que el usuario no coincidía con el perfil de HIP Windows:
   
4. Cometer

Una vez creado el nuevo HIP perfil "nomatch", todos los informes de cadera de usuario entrantes se evaluarán en su contra. No es necesario añadir el nuevo perfil de cadera a ninguna policy regla de seguridad. Como explica el siguiente documento (en el paso 6), todos los HIP perfiles configurados se evalúan en el momento en que se envía un HIP informe, no cuando se coinciden las reglas de seguridad:
https://docs.paloaltonetworks.com/ globalprotect /9-0/ globalprotect -admin/host-information/configure-hip-based- policy -enforcement

Ahora los HIP registros de coincidencias(supervisar > registros > HIP coincidencia)registrarán una entrada "nomatch" si un usuario se conecta y no hace juego el HIP perfil adecuado.